【正文】 功能 。 S／ WAN(Secure Wide Area Network) ?S/WAN設計基于 IP層的安全協(xié)議 ， 可以在 IP層提供加密 ， 保證防火墻和 TCP／ IP產(chǎn)品的互操作 ， 以便構作虛擬專網(wǎng) (VPN)。 SET(secure Electronic Transaction) ?SET是 Visa， MasterCard合作開發(fā)的用于開放網(wǎng)絡進行電子支付的安全協(xié)議 ， 用于保護商店和銀行之間的支付信息 。 S／ MIME (Secure／ Multipurpose Inter Mail Extension) ?S/MIME是用于多目的的電子郵件安全的報文安全協(xié)議 ， 和報文安全協(xié)議 (MSP)、 郵件隱私增強協(xié)議 (PEM)、 MIME對象安全服務協(xié)議 (MOSS)及 PGP協(xié)議的目的一樣都是針對增強 Inter電子郵件的安全性 。 我國信息安全標準化工作 ?從 80年代中期開始 ， 在制定我國的安全標準時 ， 也盡量與國際環(huán)境相適應 ， 自主制定和采用了一批相應的信息安全標準 。 ?到 1997年底 ， 已經(jīng)制定 、 報批和發(fā)布了有關信息安全的國家標準 13個 ， 國家軍用標準 6個 ， 現(xiàn)在正在制定中的國家標準 14個 ， 對我國的信息化信息安全起到了重要的指導作用 。 ?此外 ， 我國一些對信息安全要求高的行業(yè)和一些信息安全管理負有責任的部門 ， 也制定了一些有關信息安全的行業(yè)標準和部門標準 。 ?標準的制定需要較為廣泛的應用經(jīng)驗和較為深入的研究背景 。以上兩方面我國的信息安全標準化工作與國際已有的工作比較 ，覆蓋的方面還不夠大 ， 宏觀和微觀的指導作用存在一定的差距 。 目 錄 1. 網(wǎng)絡的發(fā)展和變化 2. 網(wǎng)絡安全現(xiàn)狀 3. 網(wǎng)絡安全威脅 4. 網(wǎng)絡安全服務 5. 安全標準和組織 6. 安全保障 安全保障 信息安全是涉及面極廣的系統(tǒng) ， 要實現(xiàn)真正意義上的安全保密 ，必須同時從法規(guī)政策 、 管理 、 技術三個層面全方位采取有效措施 ， 其中包括： ?正確的認識 ?先進的技術 ?嚴格的管理 ?完善的法規(guī) ?堅實的理論 正確的認識 ?信息安全的重要性 ?左的認識往往過分強調(diào)信息安全的重要性，夸大危害和后果，不講利弊的辯證關系，動不動提到國家安全的高度 ?右的認識則對信息安全過分不重視 ， 看不到網(wǎng)絡入侵所造成的嚴重后果 ， 因而沒有投入必要的人 、 財 、 物力來加強網(wǎng)絡的安全性 ， 未能采取正確的安全策略和安全機制 。 ?需求的準確性 ?用戶首先對自身系統(tǒng)所面臨的威脅進行風險評估，決定所需要的安全服務，選擇相應的安全機制，然后集成先進的安全技術，提供可靠的安全功能，形成一個良好的信息安全方案，并能正確實現(xiàn)，就能在享受網(wǎng)絡信息化優(yōu)勢的同時，把風險減到最小。 正確的認識 ?風險意識 ?風險意識的建立是以利弊分析為基礎的 ?利弊分析 ?利弊分析是具體的 ， 需要將抽象事物要具體量化 ， 籠統(tǒng)的分析是得不出準確得結果的 。 ?應當把安全所投入的經(jīng)費和所帶來的效益作一詳細的分析 。建設投入和運行投入很容易量化 ， 經(jīng)濟效益和損失也較容易量化 ， 但社會效益和損失不好量化 。 ?特定的安全系統(tǒng)是一個實在的運行系統(tǒng) ， 應當以量化的指標來衡量其效益或損失 。 在這些方面保險公司的做法是可以借鑒的 。 先進的技術 當前普遍采用的新技術大致有：規(guī)模化密鑰管理技術 、 虛擬網(wǎng)技術 、 防火墻技術 、 入侵監(jiān)控技術 、 安全漏洞掃描技術 、 網(wǎng)絡防病毒技術 、 加密技術 、 鑒別和數(shù)字簽名技術等 ， 可以綜合應用 ， 構成多層次的網(wǎng)絡安全解決方案 。 嚴格的管理 ?安全管理按 照 不同業(yè)務系統(tǒng)而不同 ?在開放業(yè)務系統(tǒng)中 ， 根據(jù)網(wǎng)絡安全監(jiān)測軟件的實際測試 ， 一個沒有安全防護措施的網(wǎng)絡 ， 其安全漏洞通常有 1500個左右 。 其中用戶口令的保管對系統(tǒng)安全至關重要 。 實際上 ， 網(wǎng)絡用戶中很謹慎地使用或保管口令的人很少 ， 因此被竊取概率很大 。 ?在封閉環(huán)境或?qū)Ｓ镁W(wǎng)特別是涉密網(wǎng)絡系統(tǒng)中 ， 各用戶單位應建立相應的信息安全管理規(guī)則 ， 確定大家共同遵循的規(guī)范 ， 以加強內(nèi)部管理 ， 保證信息安全技術按預定的安全設計無差錯運行 。 同時依據(jù)信息安全評估標準 ， 建立安全審計和安全跟蹤體系 ， 建立必要的信息安全管理系統(tǒng) 。 只有提高全體人員的信息安全意識 ，才能真正增強整個信息系統(tǒng)的安全效能 。 完善的法規(guī) 美國 ? 1998年 5月 22日總統(tǒng)令 (PDD63)： 《 保護美國關鍵基礎設施 》 ? 圍繞 “ 信息保障 ” 成立了多個組織，包括：全國信息保障委員會、全國信息保障同盟、關鍵基礎設施保障辦公室、首席信息官委員會、聯(lián)邦計算機事件響應行動組等十多個全國性機構 ? 1998年美國國家安全局（ NSA）制定了 《 信息保障技術框架 》（ IATF） ,提出了 “ 深度防御策略 ” ，確定了包括網(wǎng)絡與基礎設施防御、區(qū)域邊界防御、計算環(huán)境防御和支撐性基礎設施的深度防御目標 ? 2022年 1月，發(fā)布 《 保衛(wèi)美國計算機空間 —保護信息系統(tǒng)的國家計劃 》 。分析了美國關鍵基礎設施所面臨的威脅，確定了計劃的目標和范圍，制定出聯(lián)邦政府關鍵基礎設施保護計劃（民用機構和國防部），以及私營部門、洲和地方政府的關鍵基礎設施保障框架。 俄羅斯 ? 1995年頒布 《 聯(lián)邦信息、信息化和信息保護法 》 ，為提供高效益、高質(zhì)量的信息保障創(chuàng)造條件，明確界定了信息資源開放和保密的范疇，提出了保護信息的法律責任。 ? 1997年出臺 《 俄羅斯國家安全構想 》 。明確提出 “ 保障國家安全應把保障經(jīng)濟安全放在第一位 ” ，而 “ 信息安全又是經(jīng)濟安全的重中之重。 ? 2022年普京總統(tǒng)批準了 《 國家信息安全學說 》 ，明確了聯(lián)邦信息安全建設的任務、原則和主要內(nèi)容。第一次明確了俄羅斯在信息領域的利益是什么，受到的威脅是什么，以及為確保信息安全首先要采取的措施等。 日本 ? 出臺 《 21世紀信息通信構想 》 和 《 信息通信產(chǎn)業(yè)技術戰(zhàn)略 》 ，強調(diào) “ 信息安全保障是日本綜合安全保障體系的核心 ” 。 ? 加緊建立與信安全相關的政策和法律法規(guī)，發(fā)布了 《 信息通信網(wǎng)絡安全可靠性基準 》 和 《 IT安全政策指南 》 。 ? 成立了信息安全措施促進辦公室，綜合安全保障閣僚會議、 IT安全專家委員會和內(nèi)閣辦公室下的 IT安全分局。 中國 ? 制定了一系列基本管理辦法 ? “ 中華人民共和國計算機安全保護條例 ” ? “ 中華人民共和國商用密碼管理條例 ” ? “ 計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行辦法 ” ? “ 計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法 ” ? “ 計算機信息系統(tǒng)安全等級劃分標準 ” 等 ? 《 刑法 》 修訂中，增加了有關計算機犯罪的條款 ? 尚未形成完整的體系 我國信息安全建設的現(xiàn)狀 ? 我國信息化建設基礎設備依靠國外引進 ， 信息安全防護能力只是處于相對安全階段 ， 無法做到自主性安全防護和有效監(jiān)控： ?核心芯片 ?系統(tǒng)內(nèi)核程序源碼 ?其它大型應用系統(tǒng) ? 信息安全學科的基礎性研究工作 ——信息安全評估方法學的研究尚處于跟蹤學習研究階段 。 我國信息安全建設的現(xiàn)狀 ? 國內(nèi)開發(fā)研制的一些防火墻 、 安全路由器 、 安全網(wǎng)關 、“ 黑客 ” 入侵檢測 、 系統(tǒng)弱點掃描軟件等在完善性 、 規(guī)范性 、 實用性方面還存許多不足 ， 特別是在多平臺的兼容性 、 多協(xié)議的適應性 、 多接口的滿足性方面與先進國家產(chǎn)品和系統(tǒng)相比還存在很大差距 。 ? 信息安全是一個綜合性交叉學科領域 ， 它涉及應用數(shù)學 、密碼學 、 計算機 、 通信 、 控制 、 人工智能 、 安全工程 、人文科學等諸多學科 ， 是近幾年迅速發(fā)展的一個熱點學科領域 。 信息對抗和信息防護是其核心熱點 ， 它的研究和發(fā)展又將刺激 、 推動和促進相關學科的研究和發(fā)展 。 我國信息安全建設的現(xiàn)狀 ? 制定了國家 、 行業(yè)信息安全管理的政策 、 法律 、 法規(guī) ? 按照國家通用準則建立了代表國家對信息安全產(chǎn)品 、信息技術和信息系統(tǒng)安全性以及信息安全服務實施公正性評測的技術職能機構 ———中國國家信息安全測評認證中心和行業(yè)中心 ? 建立了支撐網(wǎng)絡信息安全研究的國家重點實驗室和部門實驗室 。 我國信息安全建設的現(xiàn)狀 ? 有關信息安全方面的研究近幾年也異?；钴S ， 各種學術會議相繼召開 ， 已出版許多專著 、 論文 ， 在有關高等院校已建立了向關系所 、 開設了相關課程 ， 并開始培養(yǎng)自己的碩士 、 博士研究生 。 ? 我國信息安全已擺脫了單純模仿的階段 ， 開始進入自主創(chuàng)新的新階段 ， 特別需要開展信息安全基礎理論研究 ， 大力推動我國自主的信息安全產(chǎn)業(yè)的發(fā)展 。